php apache : proteger ses scripts - Page 1

Comment proteger ses scripts php sur un serveur alors que tout ce qui est dans le repertoire www est accessible par le net.
Tous Mes scripts et Classes sont dans un repertoire.

Ou dois-je les mettre et quelle sont les permissions a appliquer au repertoires ?

C'est urgent, je dois mettre un site en ligne maintenant

chépas, tu mets un .htaccess dans le répertoire qui ne doit pas être accessible publiquement ?

ok je vais chercher de ce cote.

J'ai developper le site avec EasyPhp.

Et la en publiant le site je me rend compte que l'on a access a tout les scripts.

Si quelqu'un a le code du .htaccess, ce serait qu'il le post ici.

c koi ton probleme avec les .php? qu'ils soient accessibles depuis un browser?
c'est pas normal pour une appli web?

c'est pour proteger le dossier contenant les classes, et les scripts.

Je voudrai qu'il ne soit pas executables, et qu'on ne puisse pas parcourir le repertoire.

un .htaccess avec dedans la ligne
deny from all
ne ferait pas l'affaire ?
(par contre, ce fichier ne doit être mis que dans le répertoire auquel les utilisateurs ne doivent pas avoir accès ; pas dans le répertoire contenant les pages php qu'ils doivent voir => ça ne fonctionnera que si tes pages php "visibles" ne sont pas dans le même répertoire que tes pages php "non visibles")

Merci, c'est exactement ce qu'il me faut.

J'ai tres tres bien organiser mes repertoires, aucun probleme de ce cote la.

Mon moteur est purement OO en PHP5 utilisant Smarty.


Si j'ai bien compris,

deny from all

permet de rendre invisible le repertoire, meme si les ressources qui y restent accessibles indirectement par le biais d'autres fichiers visibles

beh un truc que je comprends pas, c'est pkoi tu as mis tes scripts qui ne sont pas visibles dans le www/ normalement, on les met ailleurs...

C'est ce que je me disais aussi.

Pour deplacer mes scripts, j'ai juste a configurer un classe PathDir qui contient une constante indiquant le repertoire de mes scripts.

En fait j'ai eu un probleme avec le RichText Htmlarea que j'ai telecharger pour mon forum.

Lorsque je met mes scripts hors du wwww, Htmlarea ne retrouve plus ses images.


Je vais dont de ce pas chercher un autre RichText, et remettre mes scripts hors du www.


Merci a tous.

andoh_wilfried (./7) :
Mon moteur est purement OO en PHP5 utilisant Smarty.

(moué, alors là... purement PHP 5 et smarty, c'est incompatible (je joue sur les mots smarty étant pas vraiment php 5 ^^ ))

andoh_wilfried (./7) :
Si j'ai bien compris,

deny from all

permet de rendre invisible le repertoire, meme si les ressources qui y restent accessibles indirectement par le biais d'autres fichiers visibles

un fichier .htaccess indique des directive de conf à apache.
Ici, tu dis à apache d'interdire (deny) l'accès à tous les fichiers qui sont dans le répertoire, et ce pour tout le monde (from all)
=> Tes visiteurs, qui accèdent au site en http, n'ont pas accès aux fichiers
par contre, ton script, qui accède aux fichiers depuis PHP, y a toujours accès => tes include/require passent

Y'a quoi dans smarty qui n'est pas php5-compliant ?

Sinon il y a toujours les solutions proposées qui consistent à placer les classes et autres dans des dossiers non accessible du www, mais même si ils étaient visible quel est le problème ? Il te manque probablement quelques petites mesures de sécurité si des failles sont exploitables en exécutant directement certains fichiers de ton site.

Zephyr (./11) :
Y'a quoi dans smarty qui n'est pas php5-compliant ?

qui le rendent non utilisable en PHP 5, rien
mais smarty n'est pas pour autant écrit en php 5 (en tirant parti des fonctionnalités php5, s'entend ; php 5 étant globalement resté compatible avec la syntaxe de php 4)
(d'ailleurs, et ça fait presque plaisir à voir, smarty n'est plus un sous-projet de php (après, avis perso, aussi, peut-être ^^ ) )

Mon moteur est purement OO en PHP5 utilisant Smarty.

(moué, alors là... purement PHP 5 et smarty, c'est incompatible (je joue sur les mots smarty étant pas vraiment php 5 ^^ ))

C'est vrai que Smarty est pas PHP5, mais OO; pour moi c'est l'essentiel.


J'ai ecrit mon code comme une application a une seule entree en suivant le MCV.

J'ai upload mon siteweb pour des test.
Quoiqu'il marche parfaitement en Local(EasyPhp) avec exactement la meme arborescence,
une fois sur le net, on peut constater les disfonctionnements suivant :

1- certaines images ne s'affiche pas( *.ico )
2- le RichText HTMLAREA dans le Forum ne remplace pas le textarea car il n'est pas trouve
3- inclusion du fichier HTML de la page A_Propos echoue avec Smarty


Connaisez vous des solutions a mes problemes ?

beh regarde ou est ton JS sur le server.. c le tiens, on sait pas!
pis ca a l'air d'etre un probleme de path, stoo...

je ne sais pas si tu as testé, mais ta CSS a un rendu catastrophique avec Firefox (et probablement avec n'importe quoi d'autre qu'IE en fait)

[edit] uep, ça foire aussi avec Opera et Chrome ; autre petite remarque : à ta place je n'aurais pas laissé mon mail dans la 1ere page, c'est un coup à se prendre du spam très rapidement...

Oula oui ça chie fort la mise en page ... Tiens un screen :

(Question, l'orthographe c'est ausi la fôte à la CSS ? )

c surtout tres laid quand meme...

nEUrOO (./15) :
beh regarde ou est ton JS sur le server.. c le tiens, on sait pas!
pis ca a l'air d'etre un probleme de path, stoo...

Voici les dossier de mon arborescence :

/
      cgi-bin
      session
      shared
            classes
            lib
            scriptPhp
            includes
            javascript
                  htmlarea
      www
            paroleetvie

le dossier shared contient tout mes scripts.

HTMLAREA.js se trouve dans le dossier htmlarea.

le dossier paroloeetvie contient les pages du site web.

c'est a partir de ces pages que j'appelle le htmlarea.js :

  <script type="text/javascript" language="Javascript1.2" src= "../../shared/javascript/htmlarea/htmlarea.js" >
  </script>

Oui ca craint les couleurs, je vais arranger ca; les fautes d'orthographe aussi.
Un autre probleme que j'ai, c'est mon clavier anglais qui n'aide pas pour les lettres accentuees.


Par contre j'ai un besoin urgent d'un validateur CSS ( du genre qui valide le CSS pour tout les navigateurs en une seule passe).

un conseil pour le choix du soft serait bienvenu.

Comme on peut remarquer, je fais mes debuts, alors merci de votre aide.

Un validateur CSS ne t'aidera pas, c'est pas parcequ'une CSS est valide qu'elle passe correctement avec tous les navigateurs (et inversement). Tu peux essayer celui du w3c mais ça ne peut servir qu'à titre indicatif : rien ne remplacera une vérification "à la main" en allant visiter ton site via plusieurs navigateurs différents.

Sinon pour ton arborescence, c'est normal que les javascripts soient hors du dossier www (et donc non accessible par internet) ? Pour rappel, le javascript est exécuté coté client, donc si le client en question ne peut pas y accéder il y a peu de chances que ça fonctionne. Le fait d'utiliser des "../../" dans tes url ne pourra pas résoudre le problème : si la configuration de ton serveur est correctement faite, ça ne te permettra pas de remonter au-dessus du dossier www (et heureusement ! ce serait une faille de sécurité monstrueuse sinon).

Merci Vertyos.

Dans ce cas, ce que je devrais chercher ce sont les CSS ne fonctionnant pas sur tous les navigateurs.

Si vous avez des liens n'hesitez pas.

Mes CSS utilisent des DIV en grande partie avec width = 100%, je pense que les debordement viennent de la.

Je crois que j'ai trouver ici de quoi resoudre mes probleme de Design et CSS.

super ce site

pour tes CSS, utilises déjà un autre doctype, celui que tu as utilisé entraine des modèles de boite différentes sous IE et FF...

pas bon :
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

bon :
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">


pour info :
http://css.alsacreations.com/Tutoriels-et-articles-divers/A-propos-du-Modele-de-boite-Microsoft-ou-quirks
http://css.alsacreations.com/Bases-et-indispensables/DTD-comment-choisir
http://www.w3.org/International/articles/serving-xhtml/Overview.fr.php#quirks

(désolé de taper un peu l'incruste : ça m'a toujours paru horriblement pointilleux ces langages web, les fait d'écrire <html> en majuscule ou minuscule change quelque chose ?)

nan, mais si tu l'écris pas en minuscule c'est pas conforme au standard xhtml ^^

juste comme ca, dans tout bon langage, le fait d'écrire en minuscule et en majuscule change quelque chose, mais bon...

bof y'a aussi un certain nombre de langages dans lequel la casse n'est pas importante (Delphi par exemple), et se baser sur ce critère pour classer un langage dans la catégorie "bien" ou "pas bien" serait assez maladroit... mais bon c'est effectivement bien plus fréquent que la casse soit importante.

Erf entre le tibasic et l'assembleur, la casse, j'en ai jamais rien à cirer

Zephyr (./27) :
se baser sur ce critère pour classer un langage dans la catégorie "bien" ou "pas bien" serait assez maladroit...

C'est vrai, mais je pensais plus "tout bon programmeur doit faire attention à la casse"... Car appeler une variable $toto pour ensuite l'appeler $Toto, je trouve ca hyper crade... même si PHP s'en balance

Spipu (./29) :
même si PHP s'en balance

(pas pour les variable ^^ (encore un truc mal foutu en php -- incohérent, disons -- d'ailleurs, cette non-sensibilité à la casse pour les classes / fonctions, et sensibilité pour les variables ^^ ) )